Gestionar campos personalizados
En este documento se describe cómo crear y gestionar campos personalizados, así como cómo usarlos para generar informes avanzados. Los campos personalizados permiten a los administradores añadir información específica a los casos y las alertas. Puedes organizar estos campos personalizados con el widget Formulario de campos personalizados, que define las vistas predeterminadas de los casos y las alertas. Los analistas pueden introducir información directamente en este widget desde la pestaña Resumen de los casos y las alertas, en función del ámbito configurado del campo personalizado.
Crear un campo personalizado
Los administradores pueden crear hasta 1000 campos personalizados. Una vez que se haya guardado un campo personalizado, no podrá modificar su Ámbito, Tipo ni Nombre. Para crear un campo personalizado, sigue estos pasos:
- Ve a Configuración de SOAR > Datos de caso > Campos personalizados.
- Haz clic en Añadir Añadir para crear un campo personalizado.
- Selecciona Ámbito y, a continuación, Caso, Alerta o Todo (ambos). El campo Ámbito es obligatorio y no se puede cambiar una vez que se ha creado el campo personalizado.
- Escriba un Nombre para el campo personalizado. El campo Nombre es obligatorio y no se puede cambiar después de crear el campo personalizado.
En la lista, selecciona un Tipo de campo personalizado:
- Texto libre: introduce cualquier texto (hasta 1024 caracteres).
- Botón de selección: ofrece dos opciones personalizables para seleccionar.
- Selección única: lista con una sola opción para seleccionar. Este tipo admite un máximo de 1024 caracteres, y el nombre de cada opción puede tener hasta 255 caracteres.
- Selección múltiple: lista con varias opciones para seleccionar. Este tipo admite un máximo de 1024 caracteres, y el nombre de cada opción puede tener hasta 255 caracteres.
- Calendario: un campo de fecha y hora. El formato predeterminado es
DD/MM/YYYY HH:MM:SS.
Haz clic en Guardar.
Caso práctico: usar campos personalizados para mejorar la resistencia al phishing
En este caso práctico se describen los pasos para definir tres campos personalizados: un botón de radio, una lista de selección única y un calendario, así como para añadirlos al widget Formulario de campo personalizado. Estos campos enriquecen la vista de alerta predeterminada con información adicional sobre las alertas de phishing.
Definir el campo personalizado Falso positivo
- En Ámbito, selecciona Alerta.
- En el campo Name (Nombre), introduce
False Positive. - En la lista Tipo, selecciona Botón de radio.
- En el campo Options (Opciones), introduce
True Positive(y, a continuación, pulsa Intro) y, después, introduceFalse Positive(y, a continuación, pulsa Intro). - Haz clic en Guardar.
Definir el campo personalizado Acción del usuario
- Haga clic en Añadir para crear otro campo personalizado.
- En Ámbito, selecciona Alerta.
- En el campo Nombre, introduce Acción de usuario.
- En la lista Tipo, selecciona Selección única.
- En el campo Opciones, introduce
Clicked(y, a continuación, pulsa Intro),Reported(y, a continuación, pulsa Intro) yIgnored(y, a continuación, pulsa Intro). - Haz clic en Guardar.
Definir el campo personalizado Hora del informe
- Haga clic en Añadir para crear otro campo personalizado.
- En Ámbito, selecciona Alerta.
- En el campo Name (Nombre), introduce
Report Time. - En la lista Tipo, selecciona Calendario.
- Haz clic en Guardar.
Añadir campos personalizados al widget de nivel de alerta
Después de definir los campos personalizados, añádelos al widget Formulario de campos personalizados. Cada widget puede contener hasta 50 campos personalizados. En los siguientes pasos se muestra cómo añadir los tres campos personalizados que has creado anteriormente al widget Formulario de campos personalizados para enriquecer la vista de alerta predeterminada.
- Ve a Configuración de SOAR > Datos de caso > Vistas > Vista de alertas predeterminada. Se abrirá la vista de alerta predeterminada con los widgets disponibles.
- En la pestaña General, arrastra el widget Formulario de campos personalizados a la Vista de alerta predeterminada.
- En el widget Formulario de campos personalizados, haz clic en Configuración Configuración para abrir sus ajustes.
- En el campo Título del widget, introduce
True or False Positive Alert. - Selecciona Gestionar campos personalizados.
- Seleccione las casillas Falso positivo, Acción del usuario y Hora de la denuncia y, a continuación, haga clic en Guardar. El sistema añade estos campos personalizados al widget Formulario de campos personalizados.
- Haz clic en el interruptor Obligatorio.
- Selecciona Guardar para guardar la configuración y cerrar la ventana.
- Haz clic en Guardar vista.
Usar el widget Formulario de campos personalizados
Después de añadir campos personalizados al widget Formulario de campos personalizados, aparecerá en la pestaña Resumen de los casos y las alertas. Los analistas pueden introducir la información necesaria directamente. Siguiendo el ejemplo anterior, sigue estos pasos para usar el widget:
- En la pestaña Resumen de alertas, seleccione el widget Campos personalizados y haga clic en Editar.
- Rellena la información pertinente en los tres campos personalizados:
- Falso positivo: selecciona el botón de radio para indicar si la alerta es un positivo
trueofalse. - Acción del usuario: selecciona Hizo clic, Denunció o Ignoró.
- Hora de la denuncia: selecciona la fecha en la que se denunció la alerta.
- Falso positivo: selecciona el botón de radio para indicar si la alerta es un positivo
- Haz clic en Guardar.
Usar campos personalizados en guiones
Puedes usar los campos personalizados que definas en esta página como parte de las acciones y los marcadores de posición de las guías. Para obtener más información sobre las acciones de los cuadernos de estrategias, consulta Integrar Siemplify con Google SecOps.
Marcadores de posición de campos personalizados
Los campos personalizados están disponibles en la categoría de marcador de posición Campos personalizados. Utiliza el siguiente formato para estos marcadores de posición:
\[AlertCustom.{custom field name}\]\[CaseCustom.{custom field name}\]
Usar campos personalizados en informes avanzados
Los campos personalizados creados para casos se pueden usar en informes avanzados para obtener información valiosa más detallada a partir de sus datos.
Nota: Los informes avanzados solo admiten campos personalizados que tengan el ámbito Caso.
Crear campos personalizados para valores de selección única en Looker
Para hacer referencia a un campo personalizado de selección única (por ejemplo, "Country") en un informe de Looker, usa la siguiente fórmula de LookML como campo calculado:
if(
contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
replace(
replace(
replace(
if(position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)>0,
substring(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
0,
position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)
),
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
)),
" \"",
""
),
"\"",
""
),
"}",""),
null
)
Crear campos personalizados para valores de selección múltiple en Looker
Para hacer referencia a un campo personalizado de selección múltiple (por ejemplo, "Department") en un informe de Looker, usa la siguiente fórmula de LookML como campo calculado:
if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),
substring(
replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"","")
,0, position(replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"",""),"\"")-1)
, null)
Filtrar campos personalizados en Looker
Para filtrar de forma eficaz los campos personalizados en Looker, el método que utilices dependerá de si estás trabajando con un look o con un panel de control.
Filtrar en un Look
Para filtrar campos personalizados de selección única y de selección múltiple en un Look, puede usar directamente el campo de dimensión personalizada creado con las fórmulas anteriores.
Filtrar en los paneles de control
Para filtrar campos personalizados en los paneles de control, debes hacer referencia al valor JSON subyacente de Explorar y usar los valores adecuados en el filtro, tal como se indica a continuación:
- Campos de selección única: por ejemplo, para filtrar los casos en los que el campo personalizado País sea
China, utilice la condición de filtro%"Country": "China"%(la sintaxis exacta puede variar ligeramente en función de la versión de Looker). - Campos de selección múltiple: para filtrar campos de selección múltiple con paneles de control, consulte y use el valor JSON y la sintaxis adecuada, que puede variar en función de sus necesidades de filtrado (por ejemplo, coincidir con cualquiera o todos los valores seleccionados).
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.